Microsoft Power Platform’un SharePoint konnektöründeki kritik bir sunucu tarafı isteği sahte (SSRF) güvenlik açığı, saldırganların kullanıcı kimlik bilgilerini hasat etmesine ve Power Apps, Power Automate, Copilot Studio ve Copilot 365 gibi birden fazla hizmette kurbanları taklit etmesine izin verdi.
Yamalı kusur, veri yönetimi ve işbirliği için SharePoint’e dayanan kuruluşlar için ciddi riskler oluşturdu.
Güvenlik açığı, istismarsa, kötü niyetli aktörlerin kullanıcıları taklit etmesine ve SharePoint ortamında kendi adına eylemleri yürütmelerine izin vererek önemli güvenlik ihlallerine yol açacaktı.
Araştırmacı Dmitry Lozovoyhe’ye göre, güvenlik açığı SharePoint konektöründeki yetersiz giriş validasyonunda ikamet etti. Saldırganlar, “özel değer” işlevselliğini manipüle ederek, konektör tarafından doğru bir şekilde doğrulanmayan hazırlanmış URL’leri ekleyebilir.
Tehdit oyuncusu, kullanıcıları kötü niyetli bir akış veya uygulama oluşturarak, kurbanın kimlik bilgilerine bağlı SharePoint JSON Web Tokens (JWTS) sızdırarak saldırgan kontrollü sunuculara yönelik istekleri tetikleyebilir. SharePoint API erişimi için geçerli olan bu jetonlar, saldırganların şunlara izin vermesine izin verdi:
- Kurban adına yetkisiz eylemler yürütmek.
- Kullanıcı dizinleri ve belge kütüphaneleri dahil olmak üzere hassas verilere erişin.
- Ağ içinde yanal olarak ayrıcalıkları artırın.
Kusurdan yararlanmak için saldırganlar, kaynak oluşturma ve paylaşma izinleri veren güç platformunda çevre üreticisi ve temel kullanıcı rollerini gerektirdi.
Çok platformlu sömürü
SSRF güvenlik açığının platformlar arası etkisi şiddetini artırdı:
- Güç otomatikleştir: Saldırganlar, düşük ayrıcalıklı kullanıcılarla kötü niyetli akışlar paylaştılar ve kurbanlar onları çalıştırdığında jetonları yakaladılar.
- Güç Uygulamaları: Takımlara veya anketlere gömülü kötü amaçlı uygulamalar, kullanıcıları hatalar oluşsa bile, jetonları sızdıran bağlantıları onaylamaya teşvik etti.
- Copilot Studio & Copilot 365: Saldırganlar haydut ajanları enjekte etti, kullanıcıları rutin görevler sırasında erişim sağlama için kandırdı.
Zenity Labs, çalınan jetonların kimlik doğrulamasını nasıl atlayabileceğini göstererek API çağrılarını veri açığa çıkarma veya daha fazla saldırı için SharePoint çağrılarını sağladı.
Microsoft, Zenity Labs’ın Eylül 2024’te bildirmesinin ardından Aralık 2024’te güvenlik açığını (CVE-2024-49070 olarak izlendi) ele aldı. Şirket, bunu ayrıcalık etkisinin yükselmesi ile “önemli” bir şiddet sorunu olarak sınıflandırdı. Yamalar aşağıdakiler için sunuldu:
- SharePoint Server 2016, 2019 ve Abonelik Sürümü.
- Güç uygulamaları için konektörler ve otomatik dahil olmak üzere güç platformu hizmetleri.
SSRF kusuru artık sömürülebilir olmasa da, kuruluşlar en son güncellemeleri uyguladıklarından emin olmalıdır.
Azaltma önerileri
Benzer tehditlere karşı korumak için:
- Güvenlik güncellemelerini uygulayın: SharePoint ve Güç Platformu için Aralık 2024 yamalarını yükleyin.
- İzinleri sınırlayın: Çevre üreticisini ve temel kullanıcı rollerini güvenilir personelle sınırlayın.
- Şüpheli etkinliği izleyin: Beklenmedik harici URL referansları için denetim akışları/uygulamaları.
- Kullanıcıları eğitin: Çalışanları uygulama etkileşimleri sırasında yetkisiz rıza istemlerini veya hataları tanımayı eğitin.
Güvenlik açığı yamalanmış olsa da, güç platformunu kullanan kuruluşların güvenlik yapılandırmalarını gözden geçirmeleri ve tüm sistemlerin en son güvenlik yamalarıyla güncel olmasını sağlamaları önerilir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free